Adware downware 20091 что это
Новые вредоносные программы для Android, бэкдор для Windows, троянец для Mac OS X и другие вирусные события декабря 2011 года
13 января 2012 года
Последний месяц 2011 года оказался довольно бедным на события вирусной тематики: по всей видимости, сетевые мошенники и вирусописатели решили взять коллективный отпуск для подготовки к новогодним праздникам. В начале декабря специалистами компании «Доктор Веб» было выявлено 45 вредоносных приложений для мобильной платформы Google Android, распространявшихся на Android Market. Кроме того, последний месяц года Кота (Кролика) был отмечен появлением нового бэкдора для ОС Windows и очередной модификации троянца Trojan.Merin для Mac OS X.
Более 40 вредоносных программ обнаружено на Android Market
В начале декабря аналитики «Доктор Веб» провели специальную операцию по поиску вредоносного ПО в официальном каталоге программ для Android — Google Market. Первоначально было выявлено 33 таких приложения, однако вскоре к ним прибавилось еще 12, таким образом, общее число обнаруженных угроз достигло 45. Практически все обнаруженные специалистами «Доктор Веб» вредоносные программы относятся к давно известному семейству Android.SmsSend, их назначение — отправка без ведома пользователя платных СМС-сообщений на премиум-номера.
Каталог приложений Android Market уже не в первый раз становится источником распространения вредоносных программ. Так, ранее в нем были найдены троянцы семейства Android.DreamExploid, Android.DDLight и некоторые другие. Несмотря на то что единичные случаи появления в Android Market троянцев семейства Android.SmsSend отмечались и раньше, такое массовое их распространение зафиксировано впервые.
Все распространявшиеся на Android Market троянские программы были созданы несколькими разработчиками, при этом большая их часть маскировалась под приложения — каталоги изображений, позволяющие изменять фоновый рисунок Рабочего стола Android, и они действительно обладали таким функционалом. Тематика предлагаемых картинок самая широкая: от компьютерных игр до фотографий природы. Среди прочих вредоносных приложений встречаются и весьма оригинальные. Например, программа для составления гороскопов, диет, программа-фонарик и другие. Стоит отметить, что их интерфейс весьма аскетичен, и наличие хоть какого-то функционала призвано, скорее, прикрыть истинную цель вирусописателей — отправку с мобильного устройства жертвы платных СМС.
Принцип действия данных вредоносных приложений вполне стандартен. После запуска программы пользователю обычно демонстрируется текст, говорящий о том, что владелец мобильного устройства соглашается с некими условиями, причем само соглашение с перечнем этих условий, как правило, отсутствует. Хитрость заключается в том, что последнее слово в данном тексте представляет собой гиперссылку на страницу с лицензионным соглашением и часто никак не выделяется на фоне окружающих слов. Пользователь должен очень постараться, чтобы обнаружить такую скрытую ссылку. В случае с приложениями других разработчиков функционал несколько отличается, хотя и незначительно. Так, например, после запуска приложения на экране устройства появляется вступительный текст и две кнопки: подтверждение согласия с условиями лицензии, и вторая, при нажатии на которую должен открываться тест соглашения. Но и здесь не обошлось без хитрости: соглашение располагается на стороннем веб-сайте, который в данный момент не функционирует, поэтому ознакомиться с предлагаемыми условиями пользователь не может. После получения подтверждения приложение немедленно пытается отправлять СМС-сообщения.
Компания «Доктор Веб» незамедлительно сообщила специалистам Google об обнаружении столь внушительной «коллекции» вредоносного ПО, и все опасные приложения вскоре были удалены из каталога Android Market.
Политический спамер для Android
Однако только этими событиями количество декабрьских угроз для мобильной платформы Android отнюдь не ограничилось: в конце месяца появилось первое вредоносное приложение для этой ОС, предназначенное для рассылки политического спама — правда, ориентирован он на ближневосточную аудиторию.
Вредоносная программа Android.Arspam.1 встроена в легитимное приложение AlSalah, предназначенное для мусульман и реализующее функции компаса, который с помощью GPS-координат абонента определяет направление на Мекку и расстояние до нее. Также приложение демонстрирует текущую дату по мусульманскому календарю и способно высчитывать время пяти ежедневных молитв. Немаловажно и то обстоятельство, что предлагаемая на официальном сайте Android Market версия данной программы не несет какого-либо деструктивного функционала, в то время как аналогичное приложение, распространяемое на арабоязычных форумах, как правило, содержит в себе троянца. Иными словами, злоумышленники воспользовались программой AlSalah в своих интересах, добавив в нее вредоносную нагрузку.
Запустив на инфицированном устройстве специальную службу, троянец собирает перечень контактов, сохраненных в адресной книге мобильного устройства, и рассылает каждому из них одну из ссылок на интернет-форумы, посвященные политическим событиям на Ближнем Востоке, в частности, революции в Тунисе. Список рассылаемых адресов хранится непосредственно в теле троянца. Кроме того, если работающая в устройстве сим-карта зарегистрирована в Бахрейне, то троянец скачивает с удаленного сервера PDF-документ, содержащий разработанный Независимой комиссией Бахрейна (Bahrain Independent Commission) отчет о нарушении прав человека в этой стране.
Поскольку Android.Arspam.1 уже сейчас содержит функционал, позволяющий загружать файлы с удаленных узлов, в дальнейшем можно ожидать появления новых, более совершенных его модификаций, способных, например, получать от управляющих центров конфигурационные файлы или списки ссылок для последующей отправки получателям. Теоретически также возможно объединение работающих под управлением Android спам-ботов в ботнеты.
Взломанные сайты угрожают мобильным платформам
То, что киберпреступники обращают все более пристальное внимание на владельцев смартфонов и планшетных ПК, стало вполне очевидной тенденцией. В декабре 2011 года специалисты «Доктор Веб» выявили более 100 русскоязычных площадок, подвергшихся взлому с целью осуществления атаки на пользователей мобильных устройств. Так, многочисленные владельцы смартфонов и планшетов, работающих под управлением ОС Android и других системных платформ с поддержкой Java (например, Symbian), в последнее время стали замечать, что они лишились возможности посетить свои любимые сайты. При открытии некоторых веб-страниц происходит автоматическое перенаправление пользователя на интернет-ресурс, имитирующий оформление официального веб-сайта Opera Mini и предлагающий загрузить обновление браузера. Под видом такого обновления, распространяемого в зависимости от типа клиентской ОС в виде либо файлов .jar, либо приложений для Android (.apk), обычно скрывается троянец семейства Java.SMSSend или Android.SmsSend.
Действует данная схема следующим образом: эксплуатируя уязвимости установленных на различных сайтах серверных приложений, таких как «движки» форумов и системы управления контентом (CMS), злоумышленники получают доступ к ресурсу и подменяют хранящийся на сервере файл .htaccess. В результате этих изменений при каждом обращении к взломанному сайту сервер проверяет user-agent пользователя, и в том случае, если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian OS и Android), происходит переадресация пользователя на принадлежащую злоумышленникам веб-страницу.
Adware Downware-что это за тип вирусов и как бороться?
Adware — реклама, самостоятельно залезшая в ваш комп. Downware — вредитетель. По сути, получается вредоносная рекламная программа, забравшаяся к вам на комп с целью показа рекламы. Обычный баннер, не представляющий неприятностей при отключенном инете и достающий по полной — при подлюченном.
Бороться.. Сначала удалить все Guard-ы, потом пройтись Cureit-ом. Не поможет — обратиться за помощью на спецфорумы — VirusInfo, Web, Касперского..
Adware — программное обеспечение вредоносного характера. Относится к категории нежелательного, но неопасного, т.к. само по себе не наносит повреждений системам компьютера. Представляет собой код вывода рекламных уведомлений, баннеров, бегущих строк и так далее на рабочий стол в любом месте экрана.
Downware — ПО для загрузки и инсталляции каких-либо других программ. Обычно идет в паре с прочими вирусными модулями, например, Adware. Заражение происходит при загрузке софта из небезопасных и непроверенных источников (торренты, файлообменники). Результат заражения — рекламные панели и тулбары, либо скрытые майнеры.
Для борьбы с подобными вирусами основной способ — установка надежного антивируса, например, "касперский" или "dr.web". Поддержание вирусных баз данных в актуальном состоянии и регулярное сканирование операционной системы должны обезопасить компьютер. Также стоит пользоваться встроенными модулями защиты в веб-браузерах.
Рекомендую технологию умной защиты "protect" в яндексе или подобные ей.
Adware и Downware — это две формы вредоносных программ, которые могут быть использованы для причинения вреда компьютерной системе. Рекламное ПО — это программное обеспечение, которое отображает нежелательную рекламу на компьютере пользователя, а Downware — это программное обеспечение, которое загружает вредоносный код на компьютер пользователя без его ведома или согласия. Оба типа вредоносных программ могут использоваться в злонамеренных целях, например, для кражи личной информации или снижения производительности системы.
Необходимо удалить все Guard-ы, после чего пройтись Cureit-ом. Если это не сработает — необходимо обратиться за помощью на спецфорумы.
Adware и Downware — это оба типа вредоносного программного обеспечения, также известные как вредоносные программы. Adware — это тип программного обеспечения, которое отображает нежелательную и навязчивую рекламу на вашем компьютере, а Downware — это тип вредоносного ПО, которое используется для загрузки и установки других типов вредоносного ПО на ваш компьютер.
Для борьбы с Adware и Downware вы можете выполнить следующие действия:
Установите и регулярно обновляйте надежное антивирусное программное обеспечение, включающее защиту от рекламного и вредоносного ПО.
Используйте веб-браузер со встроенными функциями безопасности, например, Google Chrome, который может обнаруживать и блокировать потенциально опасные веб-сайты.
Будьте осторожны при загрузке и установке программного обеспечения или переходе по ссылкам. Загружайте программное обеспечение только с веб-сайтов, пользующихся хорошей репутацией, и проверяйте подлинность источника.
Обновляйте операционную систему и программное обеспечение последними исправлениями и обновлениями безопасности.
Не нажимайте на всплывающую рекламу или ссылки, появляющиеся в электронных письмах или социальных сетях, если вы не уверены, что они исходят от законного источника.
Регулярно сканируйте компьютер с помощью антивирусного программного обеспечения, чтобы обнаружить и удалить вредоносные программы, которые могли быть пропущены.
Если вы подозреваете, что ваш компьютер заражен Adware или Downware, немедленно запустите полное сканирование системы с помощью антивирусного ПО и следуйте инструкциям для удаления любых инфекций.
Adware.Downware — что это такое?
Потенциально опасное ПО, представляющее из себя установщик легального софта, но при этом часто дополнительно устанавливается ненужное ПО, рекламные компоненты, тулбары.
Принцип попадания Adware.Downware на ПК
- Загружаете софт из небезопасного источника, например торренты, софт-порталы, сайты где размещают файлы на файлообменниках. На таких ресурсах почти отсутствует контроль выкладываемых программ.
- Запускаете установщик, который может быть как раз модулем Adware.Downware. Софт устанавливается. Часто вместе с ним ставится: рекламный вирус, модуль изменения поисковой системы, модуль установки левых расширений в браузер, всякие рекламные тулбары и прочий мусор.
- Результат — нужный вам софт установлен, однако вместе с ним — левое ПО. Это может быть безобидный рекламный вирус, а может быть майнер — вирус по добыче криптовалюты за счет ресурсов ПК (точнее за счет видеокарты).
Особенно это касается так называемых репаков — пиратское ПО, которое уже активировано, выполнены некоторые настройки (модифицировано), упаковано (например используя Ultimate Packer for eXecutables), часто установка поддерживает тихий режим, когда вообще ничего нажимать не нужно.
Также данное название можно заметить при проверке файла на ВирусТотале:
Заметьте — угрозу обнаруживает Доктор Веб.
Adware.Downware — как удалить?
Лучший способ — использование утилит для поиска разных типов угроз:
- Dr.Web CureIt! — инструмент против опасных угроз, например трояны, майнеры, ботнеты, руткиты. Скорость сканирования зависит от количества файлов на диске. Скачивается уже с антивирусными базами.
- AdwCleaner/HitmanPro — лучшие программы против рекламного/шпионского ПО, проверяют автозагрузку, реестр, планировщик задач, ярлыки браузеров, расширения и многое другое. Работают быстро, но используют немного разный алгоритм работы, поэтому рекомендую использовать обе утилиты.
Да, проверить лучше именно всеми тремя утилитами. Это даст максимально эффективный результат.
Менеджер карантина утилиты Доктор Веб — как видите отлично находит угрозу Adware.Downware, кстати на скриншоте видим mailrusputkin.exe — это некое ПО от Маил Ру, которое может быть просто склеено с рекламным вирусом.
При отсутствии антивируса — советую бесплатную версию Каспера — Kaspersky Security Cloud Free.
«Доктор Веб»: обзор вирусной активности в мае 2023 года
Анализ статистики детектирований антивируса Dr.Web в мае 2023 года показал рост общего числа обнаруженных угроз на 1,24% по сравнению с апрелем. При этом число уникальных угроз снизилось на 8,25%. Наиболее часто пользователи вновь сталкивались с рекламными программами и троянскими приложениями различных семейств. В почтовом трафике массово распространялись применяемые в фишинг-атаках PDF-документы. Кроме того, через электронные письма киберпреступники рассылали вредоносные скрипты и программы, эксплуатирующие уязвимости в ПО Microsoft Office.
Число обращений пользователей за расшифровкой файлов снизилось на 0,27% по сравнению с предыдущим месяцем. Наиболее часто жертвы троянов-шифровальщиков сталкивались с энкодерами Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.35534.
В течение мая специалисты компании «Доктор Веб» вновь обнаружили в каталоге Google Play троянские программы семейства Android.FakeApp, которые злоумышленники применяют в различных мошеннических схемах. Кроме того, были выявлены очередные троянские программы, подписывающие пользователей на платные сервисы.
Главные тенденции мая
- Увеличение общего числа обнаруженных угроз
- Снижение количества обращений пользователей за расшифровкой файлов, поврежденных шифровальщиками
- Появление очередных вредоносных приложений в Google Play
По данным сервиса статистики «Доктор Веб»
Наиболее распространенные угрозы мая:
Adware.Downware.20091 Adware.Downware.20280 Adware.Downware.20261 Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ. Trojan.BPlug.4087 Trojan.BPlug.3814 Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который открывает навязчивую рекламу в браузерах.
Статистика вредоносных программ в почтовом трафике
PDF.Phisher.458 PDF.Phisher.455 PDF.Phisher.474 PDF.Phisher.467 PDF-документы, используемые в фишинговых email-рассылках. JS.Inject Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
Шифровальщики
В мае число запросов на расшифровку файлов, поврежденных троянскими программами-шифровальщиками, снизилось на 0,27% по сравнению с апрелем.
Наиболее распространенные энкодеры мая:
- Trojan.Encoder.26996 — 19.37%
- Trojan.Encoder.3953 — 15.71%
- Trojan.Encoder.35534 — 7.21%
- Trojan.Encoder.37400 — 3.60%
- Trojan.Encoder.34027 — 3.15%
Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков
Опасные сайты
В мае 2023 года злоумышленники продолжили рассылать нежелательные электронные письма со ссылками на различные мошеннические сайты — например, инвестиционной тематики. Так, интернет-аналитики компании «Доктор Веб» выявили очередные веб-ресурсы, предлагавшие пользователям заработать при помощи псевдоторговых автоматизированных систем Quantum System, Quantum UI, и т. п. Чтобы «получить доступ» к системе, потенциальные жертвы должны зарегистрировать учетную запись, указав персональные данные. Эта информация попадает в руки мошенников. Те могут перепродать ее на черном рынке, а также обманом вынудить пользователей доверить деньги якобы беспроигрышным алгоритмам торговли с высокой доходностью.
На скриншотах выше показаны примеры страниц одного из таких мошеннических сайтов. Посетителям предлагается регистрация, после чего запрашивается адрес электронной почты — якобы для получения дальнейших инструкций по использованию «продукции».
Вредоносное и нежелательное ПО для мобильных устройств
Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в мае 2023 года по сравнению с апрелем пользователи реже сталкивались с рекламными троянскими программами. Кроме того, на защищаемых устройствах реже обнаруживались банковские трояны и вредоносные программы-вымогатели. В то же время значительно возросло число атак шпионских троянских приложений.
В течение месяца в каталоге Google Play были выявлены очередные угрозы. Среди них — мошеннические программы семейства Android.FakeApp, а также трояны семейств Android.Joker и Android.Harly, подписывающие пользователей на платные услуги.
Наиболее заметные события, связанные с «мобильной» безопасностью в мае:
- снижение активности рекламных и банковских троянских программ, а также вредоносных приложений-вымогателей,
- рост активности шпионских троянских программ,
- появление очередных угроз в каталоге Google Play.
Более подробно о вирусной обстановке для мобильных устройств в мае читайте в нашем обзоре.